中國APT組織Earth Baxia利用GeoServer漏洞攻擊亞太地區國家

中國駭客組織Earth Baxia的攻擊目標擴及菲律賓、韓國、越南、台灣和泰國等地

Photo Credit: SOC Prime

截至2024年,中國支持的駭客組織已躋身國家支持的網路威脅前段班。經過上半年,資安研究人員發現了一系列由APT40Velvet AntUNC3886Mustang Panda等駭客組織主導的長期網路間諜活動和破壞性行動。這些組織越來越依賴網路釣魚攻擊和 CVE 漏洞來滲透目標網絡,對全球網路安全形成越來越大的威脅。

最近趨勢科技研究人員報告揭露,一個與中國有關的 APT 組織「地球巴夏」(Earth Baxia) 已經針對台灣的一個政府機構以​​及亞太地區 (APAC) 的其他國家發動了網路攻擊。

該駭客組織使用魚叉式網路釣魚電子郵件並利用最近更新的 GeoServer 漏洞CVE-2024-36401。GeoServer 是一個開源伺服器,它允許使用者共享和編輯地理空間的資料。

研究人員表示:「根據收集到的網路釣魚電子郵件、誘餌文件以及對事件的調查,攻擊目標主要為菲律賓、韓國、越南、台灣和泰國等地的政府機構、電信公司和能源產業。」

2024年7 月,研究人員發現到針對台灣某政府組織和其他亞太地區國家的機構的可疑活動。網路攻擊者在遭侵入的系統上部署了定製的 Cobalt Strike (一種滲透測試工具) 元件,並安裝了一支稱為 EAGLEDOOR 的新型後門程式,這支後門程式並且支援多種通訊協定。

經調查,資安專家發現有多台伺服器是託管於阿里雲服務上或是位於香港地區的。而有一些行動中使用的惡意軟體則是從中國上傳到 VirusTotal (免費線上掃毒網站) 的。

分析其多階段感染鏈的流程,發現到是利用兩種不同的技術,包括魚叉式網路釣魚電子郵件和利用 GeoServer 的缺陷(CVE-2024-36401,CVSS 評分:9.8),最終目的是送出Cobalt Strike 和先前未知的代號EAGLEDOOR 的後門程式,該程式允許資訊收集和負載 (payload) 傳遞。

該APT 組織仰賴 GrimResource 和 AppDomainManager 注入攻擊 (用來載入執行惡意程式的技術) 來部署額外的負載,其目的是降低受害者的警覺心並且避免被偵測到。

此外,日本網路安全公司 NTT Security Holdings 最近詳細介紹了一個與APT41有關聯的駭客集團,據稱該集團使用了相同的兩種技術來針對台灣、菲律賓軍方以及越南的能源機構。

研究人員指出:「地球巴夏 (Earth Baxia) 的據點很可能位於中國,他們針對多個亞太地區國家的政府和能源部門發動了一系列精細設計的攻擊行動。」

「他們利用 GeoServer 漏洞、魚叉式網路釣魚和客製化惡意軟體(Cobalt Strike 和 EAGLEDOOR)等先進技術來入侵系統和外洩資料。該APT 組織利用公有雲服務來託管惡意檔案以及 EAGLEDOOR 的支援多重通訊協定特性,再再凸顯了他們行動的複雜性以及面對不同場域的應變能力。」

EAGLEDOOR後門程式共支援四種,包括透過 DNS、HTTP、TCP 和 Telegram 來與 C2 伺服器通訊的方法。前三個通訊協定其主要用途為傳送受害者狀態,不過核心功能則是透過 Telegram Bot API (網路機器人應用程式介面) 來執行的,用以上傳和下載檔案,以及執行額外的負載。而獲取到的資料則是透過curl.exe 執行程式來洩漏出去。

Earth Baxia組織相關的部分的入侵指標(IOCs):

9f376a334f9362c6c316a56e2ffd4971
e51f2ea5a877e3638457e01bf46a20e1
9833566856f924e4a60e4dd6a06bf9859061f4be
d9b814f53e82f686d84647b7d390804b331f1583
dce0a4c008ea7c02d768bc7fd5a910e79781f925
e2b0c45beadff54771a0ad581670a10e76dc4cf1
04b336c3bcfe027436f36dfc73a173c37c66288c7160651b11561b39ce2cd25e
061bcd5b34c7412c46a3acd100167336685a467d2cbcd1c67d183b90d0bf8de7
1c13e6b1f57de9aa10441f63f076b7b6bd6e73d180e70e6148b3e551260e31ee
1c26d79a841fdca70e50af712f4072fea2de7faf5875390a2ad6d29a43480458